Conditions particulières applicables aux établissements scolaires
Version 2 publiée le 22/05/2021.
Télécharger le document en PDFIntroduction
Bienvenue, et merci pour votre intérêt vis-à-vis des services créés par Proaxian.
Préambule
Les présentes conditions particulières ont pour objet de définir les conditions d’utilisation applicables aux services fournis par Proaxian aux établissements scolaires. Elles complètent les conditions générales d’utilisation en vigueur. En cas de contradiction entre les présentes conditions particulières et les conditions générales, les conditions particulières prévaudront.
Vous consultez les Conditions particulières révisées, qui entrent en vigueur le 22 mai 2021. Ces conditions sont applicables durant toute la durée d’utilisation des services Engagement Jeunes.
1. Introduction
1.1. Objet
La plateforme Engagement Jeunes a pour mission d’aider les étudiants et jeunes diplômés à trouver une alternance, un stage ou un premier emploi. Elle a également pour objet d’aider les entreprises à partager avec d’autres recruteurs les profils de jeunes professionnels et de permettre à ces derniers de se développer, personnellement et professionnellement. Elle a enfin pour mission de référencer et présenter les cursus de formation disponibles, d’aider les responsables de ces formations à trouver des entreprises pour leurs étudiants et alumni, et d’améliorer l’adéquation entre les contenus pédagogiques développés et les besoins du marché.
Les étudiants peuvent être inscrits par leur école sur la plateforme dans le cadre de leur admission ou préadmission, afin d’être assistés dans leur recherche d’une entreprise d’accueil, et d’être suivis pendant et à l’issue de leur cursus. Dans ce cas de figure, l’espace personnel de l’étudiant est actif pendant au moins la durée du cursus dans l’école et ne peut être supprimé.
Dans les autres cas, l'espace personnel des étudiants sur la plateforme est actif pour une durée limitée, allant de une à cinq années selon le choix de l’utilisateur, à compter de la date de leur inscription, ou, le cas échéant, de la fin de leur cursus dans une école ; choix qui peut être modifié à tout moment, dans la limite des cinq années. À l’issue du délai choisi par l’étudiant, le compte Engagement Jeunes du membre sera automatiquement fermé. À tout moment, le membre est par ailleurs en mesure de supprimer son compte.
L’ensemble des services offerts aux étudiants l’est à titre gracieux. Les contreparties qui leurs sont expressément demandées sont de déposer un CV qualitatif et de mettre régulièrement à jour sur le site le statut concernant leur recherche d’emploi. Cette dernière information permet de suivre l’efficacité de la plateforme et de fournir aux écoles des données pertinentes sur le taux de placement des jeunes à l’issue de leur formation. L’étudiant recevra à ce titre un e-mail régulier ayant pour but de faire le point sur sa situation. Il s'engage à y répondre et à déclarer dès qu'il aura un nouveau contrat ainsi que l'organisation ou l’entreprise qu'il aura intégrée. Le fait d’avoir trouvé un emploi ne supprime ni ne suspend les accès de l’étudiant aux postes ouverts.
1.2. Champ d’application
Lorsque vous utilisez nos services dans le cadre d’un compte école, vous acceptez d'être lié par toutes ses dispositions du présent contrat.
En créant votre compte école sur la plateforme Engagement Jeunes, vous acceptez de conclure un contrat qui vous engage auprès de Proaxian, 17 rue Lemercier - 75017 Paris, sur la base des dispositions des présentes Conditions particulières ainsi que des Conditions générales d’utilisation (dénommées collectivement le “Contrat”) et de devenir un membre de la plateforme Engagement Jeunes.
Si vous n'acceptez pas ce Contrat, ne cochez pas “J’accepte les conditions d’utilisation d’Engagement Jeunes” et ne validez pas la création de votre compte. En cliquant sur “J’active mon compte” ou similaire, ou en utilisant tout Service, vous reconnaissez que vous avez lu et compris les conditions de ce Contrat et que vous avez accepté d'être lié(e) par toutes ses dispositions.
2. Vos obligations : Engagement et Interdictions
Vous devez respecter toutes les lois en vigueur, les dispositions des Conditions Générales d’Utilisation, ainsi que les exigences indiquées ci-dessous.
En tant qu’école, vous vous engagez à… :
- lors de l’inscription de l’établissement, garantir votre pleine existence juridique,
- mettre à jour régulièrement les comptes Engagement Jeunes des membres de votre école,
- limiter l’utilisation de la plateforme à vos seuls étudiants et anciens-étudiants,
- s’assurer de la mise à jour des informations relative aux formations et diplômés diffusés par vos soins sur la plateforme,
- valider ou refuser les opportunités qui leurs sont transmises par les entreprises afin qu’elles soient accessibles à vos étudiants ou anciens-étudiants.
Vous vous interdisez de… :
- falsifier, imiter ou déformer votre identité ou celle de votre établissement,
- créer un compte Engagement Jeunes pour une école inexistante ou n’étant pas la vôtre,
- ouvrir un ou des comptes Engagement Jeunes pour des membres d’organisations tierces ou des personnes physiques n’étant pas rattachés à votre organisation,
- donner, prêter ou sous-louer votre compte Engagement Jeunes à autrui ou à une autre organisation.
Les établissements utilisant la plateforme pour diffuser des offres d’emploi, de stage ou d’alternance, pour leur compte ou pour le compte d’un tiers, s’obligent à :
- utiliser la plateforme conformément au Code du Travail (articles L.5331-1 et suivants) et, en particulier, à ne pas publier de contenu contraire à la législation, aux bonnes mœurs et à l’ordre public,
- garantir l’existence et/ou la disponibilité de l’offre publiée sur la plateforme,
- ne pas diffuser d’offre sous une forme anonyme,
- ne pas publier des offres d’emploi comportant des allégations fausses ou susceptibles d’induire en erreur et portant en particulier sur un ou plusieurs des éléments suivants : l’existence, le caractère effectivement disponible, le régime, la nature et la description de l’emploi ou du travail à domicile offert ; la rémunération et les avantages annexes proposés ; le lieu du travail,
- ne pas publier d’offres d’emploi comportant un texte rédigé en langue étrangère,
- ne pas publier de liens hypertextes autres que ceux expressément autorisés par Proaxian,
- ne pas diffuser une insertion d’offres d’emploi comportant la mention d’une limite d’âge supérieure exigée du postulant à un emploi, à l’exception toutefois des offres qui fixent des conditions d’âge imposées par des dispositions légales,
- respecter la réglementation en vigueur sur le recrutement et, en particulier, l’article L.1132-1 du Code du Travail sur la discrimination en matière de recrutement ("Aucune personne ne peut être écartée d'une procédure de recrutement [….]en raison de son origine, de son sexe, de ses mœurs, de son orientation sexuelle, de son âge, de sa situation de famille ou de sa grossesse, de ses caractéristiques génétiques, de son appartenance ou de sa non-appartenance, vraie ou supposée, à une ethnie, une nation ou une race, de ses opinions politiques, de ses activités syndicales ou mutualistes, de ses convictions religieuses, de son apparence physique, de son nom de famille ou en raison de son état de santé ou de son handicap") et l’article L.4153-1 du Code du Travail sur le travail des mineurs,
- relever et garantir l’éditeur de toutes les conséquences financières liées au non-respect des obligations légales relatives aux offres d’emploi et aux règles de recrutement. Plus particulièrement, l’entreprise s’engage à utiliser la plateforme conformément à sa finalité ; Proaxian se réserve la possibilité de supprimer sans préavis toute annonce qui ne sera pas conforme à la législation en vigueur,
Toute autre utilisation de la plateforme contraire à notre mission et à notre finalité est strictement interdite et constitue un manquement aux dispositions de ce Contrat.
3. Résiliation
3.1. Droits de résiliation réciproques
Nous pouvons chacun mettre fin à ce contrat à tout moment.
Vous pouvez résilier le présent Contrat, avec ou sans motif, à tout moment. Pour ce faire, les établissements doivent en faire la demande à Proaxian.
3.2. Effets de la résiliation
Lors de la résiliation de votre compte école Engagement Jeunes, vous perdez votre accès à la plateforme et les données vous concernant et concernant votre établissement sont supprimées. Les comptes de vos membres d’école seront également supprimés.
4. Confidentialité et traitement de données à caractère personnel
Les présentes clauses ont pour objet de définir les conditions dans lesquelles Proaxian, éditeur de la plateforme, s’engage à effectuer pour le compte de l’établissement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « RGPD »).
4.1. Sous-traitance et responsabilité conjointes du traitement
Lorsque vous utilisez Engagement Jeunes pour l’invitation des étudiants et alumni, l’établissement scolaire et Proaxian peuvent être tantôt considérés comme responsables conjoints du traitement, tantôt respectivement responsable du traitement et sous-traitant.
La responsabilité conjointe existe lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Les responsables conjoints du traitement doivent alors définir leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations.
Proaxian est sous-traitant de l’établissement tant que l’étudiant n’a pas validé son compte ; la base légale du traitement est soit l’intérêt légitime de l’établissement (favoriser le placement des étudiants et alumni, suivre leur parcours, rester en contact), soit l’exécution d’un contrat ou de mesures précontractuelles (si l’invitation entre dans le cadre de la scolarité ou du processus d’admission).
Proaxian et l’établissement peuvent être considérés comme responsables conjoints du traitement :
- Lorsque l’étudiant a validé son compte et que l’ensemble des services d’Engagement Jeunes lui sont ouverts, pour les traitements relatifs à la fourniture des accès, à la gestion du compte, au suivi des étudiants et aux fonctionnalités visant à favoriser leur insertion professionnelle ; la base légale est le contrat (l’acception des conditions d’utilisation de la plateforme) ;
- Pour les traitements relatifs à la fourniture des accès aux collaborateurs de l’établissement (responsables de formation, relation écoles-entreprise, communication…), la gestion de leur compte et leur accès aux micro-learning vidéo ; la base légale est l’intérêt légitime de l’établissement lors de l’invitation des collaborateurs (leur permettre d’utiliser la plateforme dans le cadre de leur activité professionnelle), et le contrat (l’acception des conditions d’utilisation de la plateforme).
4.2. Traitements faisant l’objet de sous-traitance
4.2.1. Description des traitements faisant l’objet de sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les services de suivi, de contact et de placement des étudiants, tant que la personne n’a pas validé son compte et activé l’ensemble des services d’Engagement Jeunes.
La nature des opérations réalisées sur les données est la collecte des coordonnées et profils des étudiants.
Les finalités du traitement sont :
- De proposer aux étudiants des offres de stages ou d’alternance ;
- De leur proposer l’accès complet à Engagement Jeunes ;
- De réaliser un suivi interne du placement ;
- De les contacter ;
- De réaliser des statistiques.
Certaines données collectées ont pour autre finalité d’assurer la sécurité des systèmes.
Les données à caractère personnel traitées sont :
- Informations recueillies auprès de l’établissement : adresse e-mail, formation, promotion, statut ;
- Informations en provenance des journaux de nos serveurs web et messagerie :
- Données de connexion, informations sur votre ordinateur ou votre téléphone, telles que votre adresse IP, votre système d’exploitation ou votre type de navigateur ;
- Adresses e-mail expéditeur / destinataires en cas d’échanges par e-mail.
Les catégories de personnes concernées sont les étudiants et alumni de l’établissement.
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires à l’invitation des étudiants, soit leur adresse e-mail, formation, promotion et statut.
4.2.2. Obligations du sous-traitant vis-à-vis du responsable de traitement
Proaxian s'engage à :
- traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- traiter les données conformément aux instructions du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
4.2.2.1. Sous-traitance
Proaxian est autorisé à faire appel à des sous-traitants ultérieurs tiers dans le cadre de ses activités. Une liste des sous-traitants mise à jour est disponible à l’adresse suivantes : https://www.engagement-jeunes.com/plateforme/fr/sous-traitants-ulterieurs.html
En cas de recrutement d’autres sous-traitants ultérieurs, Proaxian en informe le responsable de traitement 30 jours à l'avance. Le responsable de traitement a le droit d’émettre des objections en cas de changement de sous-traitant ultérieurs, dans les conditions prévues à l’article 28 du RGPD. Les objections doivent être notifiées à Proaxian dans les 15 jours suivant envoi de la notification du changement de sous-traitant ultérieurs par Proaxian en précisant le motif de l’objection.
En cas d'urgence, c’est-à-dire la survenance d’un évènement rendant la fourniture du service raisonnablement ou commercialement excessivement difficile, Proaxian est autorisé par le responsable de traitement à désigner un sous-traitant ultérieur ou à remplacer un sous-traitant ultérieur existant, avec effet immédiat, pour la réalisation d’activités de traitement spécifiques. Dans de telles circonstances, Proaxian doit aviser le responsable du traitement d'une telle nomination ou d'un tel remplacement sans délai. A compter de cette date, le responsable du traitement disposera d’une période de 15 jours à partir de la notification effectuée par Proaxian pour notifier par écrit ses objections éventuelles.
Comme Proaxian offre un service partagé, et sauf si les Parties se sont entendues sur une solution alternative permettant de lever les objections du responsable du traitement, l’usage du service pourra être terminé de plein droit par l’une ou l’autre des Parties moyennant notification écrite qui devra être effectuée au plus tard dans les 15 jours suivant la notification des objections. Cette résiliation sera effective à l’issue d’un délai de 15 jours suivant la date de notification de la résiliation de l’usage du service et le responsable du traitement ne pourra plus utiliser le service à compter de cette date. A défaut de notification d’objections du responsable du traitement dans le délai précité de 15 jours, le service continuera d’être fourni au responsable du traitement par Proaxian selon les nouvelles conditions de sous-traitance ultérieure.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
4.2.2.2. Droit d’information des personnes concernées
Proaxian, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données réalisés. La formulation et le format de l’information doit être convenue avec le responsable de traitement avant la collecte de données.
4.2.2.3. Exercice des droits des personnes
Proaxian doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.
4.2.2.4. Notification des violations de données à caractère personnel
Proaxian notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par e-mail. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord du responsable de traitement, Proaxian notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, Proaxian communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4.2.2.5. Aide de Proaxian dans le cadre du respect par le responsable de traitement de ses obligations
Proaxian aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Proaxian aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
4.2.2.6. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, Proaxian s’engage à détruire toutes les données à caractère personnel.
4.2.2.7. Documentation
Proaxian met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
4.3. Traitements faisant l’objet de responsabilité conjointe
4.3.1. Description des traitements faisant l’objet de responsabilité conjointe
La responsabilité conjointe du traitement existe dès lors que l’étudiant a validé son compte. Proaxian décide des moyens tandis que l’établissement décide de certaines finalités, comme le suivi des étudiants.
Elle est aussi établie pour les traitements relatifs à la fourniture des accès aux collaborateurs de l’établissement, la gestion de leur compte et leur accès aux micro-learning vidéo : Proaxian décide des moyens, l’établissement décide des collaborateurs invités, administre leur compte et décide de certains services attribués.
Proaxian et l’établissement traitent les données à caractère personnel nécessaires pour fournir les services de suivi, de contact et de placement des étudiants ayant validé leur compte.
La nature des opérations réalisées sur les données est la collecte des coordonnées des collaborateurs et des étudiants, ainsi que leur CV.
Les finalités du traitement sont :
- De permettre l’authentification sur la plateforme des jeunes et des collaborateurs de l’entreprise ;
- La gestion de leur compte ;
- De permettre aux étudiants de renseigner leur CV, de les conseiller et les orienter pour améliorer son impact ;
- De suivre le parcours professionnel et scolaire des personnes issues de l’établissement ;;
- De leur proposer des offres d’emplois, de stages, d’alternance, en fonction de leur profil et de leurs préférences ;
- De déposer une recommandation pour la personne ;
- De réaliser des statistiques sur le profil et sur le devenir professionnel des personnes issues de l’établissement.
Certaines données collectées ont pour autre finalité d’assurer la sécurité des systèmes.
Les données à caractère personnel traitées sont :
- Informations recueillies auprès de l’établissement : adresse e-mail, formation, promotion, statut ;
- Informations recueillies directement auprès des collaborateurs, à l’exception des étudiants et alumni issus de l’établissement :
- Données d’identification et d’authentification (nom, prénom, e-mail) ;
- Coordonnées professionnelles (numéro de téléphone, localisation) ;
- Fonction au sein de l’établissement ;
- Dernier établissement fréquenté ;
- Informations recueillies directement auprès de l’étudiant ou de l’alumni :
- Données d’identification et d’authentification (nom, prénom, date de naissance, e-mail) ;
- Coordonnées personnelles (numéro de téléphone, adresse) ;
- Reconnaissance RQTH ;
- Statut actuel ;
- Présentation générale ;
- Parcours professionnel et scolaire ;
- Certifications obtenues, compétences et niveau de langues ;
- URL des profils en ligne (LinkedIn, Doyoubuzz, site personnel) ;
- Préférences de recherche (localisation, métier, contrat).
- Informations recueillies auprès de tiers, en cas de recommandations : Date et texte de la recommandation ;
- Informations statistiques, destinées à être anonymisées à brève échéance :
- Jours et durée de connexion sur la plateforme ;
- Informations en provenance des journaux de nos serveurs web et messagerie :
- Données de connexion, informations sur votre ordinateur ou votre téléphone, telles que votre adresse IP, votre système d’exploitation ou votre type de navigateur ;
- Adresses e-mail expéditeur / destinataires en cas d’échanges par e-mail.
Les catégories de personnes concernées sont les collaborateurs et les étudiants de l’établissement.
4.3.2. Engagements de Proaxian vis-à-vis de l’établissement
4.3.2.1. Droit d’information des personnes concernées
Proaxian, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise.
4.3.2.2. Exercice des droits des personnes
Proaxian est chargé de répondre, au nom des responsables conjoints de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la co-traitance prévue par le présent contrat. Les entreprises pourront, lorsqu’elles reçoivent directement une demande, soit y faire droit eux-mêmes, soit le transférer à Proaxian pour traitement.
4.3.2.3. Notification des violations de données à caractère personnel
Proaxian notifie au responsable conjoint de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par e-mail. Cette notification est accompagnée de toute documentation utile afin de permettre, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Proaxian est chargé de notifier à l’autorité de contrôle compétente (la CNIL), au nom des responsables conjoints de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Proaxian est chargé de communiquer, au nom des responsables conjoints de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4.4. Mesures de sécurité
Que ce soit en tant que sous-traitant ou responsable conjoint du traitement, Proaxian s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Contrôle des accès logiques : Accès aux données selon le profil des personnes connectées ;
- Protection des sites web : L'accès au site internet est entièrement protégé par SSL (HTTPS) ;
- Stratégie de complexité des mots de passe : minimum 8 caractères et inclure des lettres, chiffres et symboles. Un système de vérification de complexité du mot de passe affiche en temps réel le temps estimé à le craquer. Un générateur de mots de passe complexes est proposé ;
- Sauvegarde des données : Une sauvegarde quotidienne de l'ensemble des données (base de données et fichiers associés) est réalisée quotidiennement. 10 jours d'archive sont conservés ;
- Sécurisation des accès physiques par OVH en sa qualité d’hébergeur ;
- Protection contre les sources de risques non humaines : Prise en compte des risques naturels et environnementaux par OVH ; Répartition des serveurs sur plusieurs zones géographiques pour permettre de maintenir le service en cas d’incident sur un datacenter ;
- Chiffrement : Les mots de passe sont hachés, salés et poivrés.